Bilbordi, porno, in zakaj je vse tako enostavno za kramp

Zagotavljam vam, da ima ta članek poanto, do katere bom prišel v kratkem. Najprej pa naj’govorimo o Goatseju. NE GOOGLE PREDMETNEGA POGOJA. Če je to opozorilo prišlo prepozno, se opravičujem. Če že veste, kaj je, se mi smili.


Če nimaš’Videla sem Goatseja in ne’ne vem, kaj je, ohrani svoje deviške očesce. Dovolj je reči, da je Goatse ena najstarejših in najprimernejših slik iz enega najstarejših in najbolj petih kotičkov interneta.

Zato je bil zelo velik dogovor, ko je bil sredi mesta Atlante sredi mesta Atlanta preklican elektronski pano. V incident ne preiskujejo samo policije, ampak tudi FBI in ministrstvo za domovinsko varnost.

Tukaj pridem do bistva tega članka, ki je - kako se zgodijo take stvari? Odgovor bo nasproten tistemu, kar mislite. Večina medijskih člankov bo zgodbo o panoju poročala kot “taksist” incident, ki je napad zgodbe hekerjem.

Ti ljudje so z zlonamerno namero uporabili vrstice kode, energijske napitke in verjetno tudi nekaj EDM-ja, da so uničili kosila mestnih prevoznikov v Atlanti. To je lažna pripoved. Ko je Titanik potonil, je bila ledena gora’s krivdo?

Tukaj’je vprašanje: Ko pritisnete gumb, da zaprete vrata dvigala, ste pravkar “kramp” dvigalo? Ne, nisi’t - pritisnili ste gumb. Taki oglasni pano v Atlanti je zahteval približno enako veliko truda.

Natančne podrobnosti niso jasne, vendar izgleda, da podjetje YESCO ni uspelo spremeniti privzetega gesla na svojem spletnem portalu za administracijo.

(Protip: Če boste kdaj uporabili ali kupili napravo, povezano z internetom, takoj spremenite geslo. V nasprotnem primeru bo vdor v to napravo tako preprost kot Googling lastnika’priročnik.) Pred incidentom je varnostni raziskovalec Dan Tentler celo opozoril YESCO, kaj se lahko zgodi. Njihov sedem besedni odgovor je bil, “Ne zanima, ampak hvala za nadaljnje ukrepanje”.

Primarni razlog, zaradi katerega je informacijska varnost v tem dnevu porušena, in starost ni v tem, da se hekerji vse boljše lotijo. To je zato, ker večina podjetij, v večini industrij, ne’ne skrbi za zaščito svojih strank. Banke po zakonu zahtevajo, da varnost informacij jemljejo zelo resno. Bolnišnice in zdravstvena podjetja morajo v skladu s HIPAA sprejeti podobne ukrepe.

Ko pa pridete zunaj teh panog, zahteve zelo hitro odpadejo. Če imate na primer veliko količino podatkov o kreditnih karticah’s standardom, znan kot PCI DSS, ki naj bi podjetjem pomagal varovati podatke o plačilih kupcev. Skladnost s PCI DSS pa je skoraj povsem prostovoljna in standard morda ne bo deloval tako dobro.

Ko ste zunaj dobro razmejenih panog, kot so storitve, finance in zdravstvena oskrba, obvezno varovanje informacijske varnosti bolj ali manj izhlapi. Imate letalsko družbo? Občutite vas brez skrbi za infosec. Izdelava medicinskih pripomočkov? Porabite svoj R&D dolarjev drugje. Kaj pa, če naredite pametno, z internetom povezano ključavnico? Kdo bi si kdaj pomislil, da bi se tega lotil?

Vse to so incidenti iz zadnjih dveh mesecev, ko so raziskovalci na področju varnosti odkrili zelo velike in zelo izkoriščene pomanjkljivosti v infrastrukturi, ki bi se nam lahko zdele kritične - ki so bile pozneje prezrte. V primeru ključavnice in letala sta zadevni podjetji grozili sodni postopek zoper vpletene raziskovalce.

Chris Roberts, človek v središču polemike z letalom, je na malenkostnem sivem območju. Njegova dejanja si verjetno zaslužijo svoj članek’s vredno razprave, ampak naj’s podkrepite korak: če ne storite nič drugega kot opozarjanje na varnostne napake v napravah, ki bi, če ne bodo uspele, lahko povzročile vsaj nezmotljivo krajo in izgubo premoženja ter množična smrt v najslabšem primeru sta dve osebi prejeli pravne grožnje, ena pa bo skoraj zagotovo šla v zapor.

Ali še vedno mislite, da so hekerji najresnejši problem tukaj?

Bolj smiselno je o hekerjih razmišljati kot o kanarčku v premogovniku. jaz’ne rečem, da jih ni’t tam zunaj - resne kršitve se zgodijo in povzročijo izgubo denarja in premoženja.

Ko se te kršitve zgodijo, pa vi’o tem verjetno ne boste slišali. Tudi ko imate kršitev v lanskem letu’s Ciljni kramp bodo podjetja čakala tedne ali mesece, preden bodo obvestila potrošnike.

Spet podjetja ne’t osredotočiti se na varovanje informacij. Želijo zanikati, omiliti in skriti. Odpraviti ranljivost pomeni priznati, kar pomeni zadrego, kar pomeni ne.

Zelo vidna dejanja potegavščin in predanih raziskovalcev na področju varnosti so včasih edini način, da se ta podjetja privedejo do odgovornosti. Pohvaliti bi morali njihove napore - razen če ne želimo, da bi letala začela padati z neba.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me